2. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 2
Índice
1. Datos sobre el CiberCrimen en
2015
2. Servicios del CiberCrimen
3. Casos conocidos del CiberCrimen
en 2015
4. ¿Cómo podemos combatir ante el
CiberCrimen organizado?
5. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 5
Datos Víctimas del
CyberCrimen en 2015
431 MILLONES
Víctimas del CiberCrimen
(69 % ADULTOS)
+1 MILLON / DIA
50000 / HORA
820 / MINUTO
15 VICTIMAS POR
SEGUNDO!!!!!!
Fuente: Microsoft
7. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 7
El servicio del
CiberCrimen
• Infraestructura
• Datos
• Pago por instalación
• Hacking
• Traducción
• Lavado de dinero
9. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 9
Casos del CiberCrimen
conocidos en 2015:
Anthem en febrero reconoció un robo
de datos de 80 millones de clientes por
un ataque con un coste aprox 100
millones de $
AdultFriendFinder en marzo sufrió el
robo de los datos de clientes. Los
atacantes ofrecieron 70 bitcoint s
(17000 $) por la BBDD. Fue publicada.
En febrero una comisaría de Illinois
pagó 500 $ por recuperar la info de uno
de sus ataques
Fuente: Informe PandaLabs 2015.
http://www.pandasecurity.com/spain/mediacenter/src/uploads/2014/07/Pandalabs-2015-anual-ES.pdf
14. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 14
¿De qué manera podemos compartir
información?
“IOC es la descripción de un
incidente de ciberseguridad,
actividad y/o artefacto malicioso
mediante patrones para ser
identificado en una red o endpoint
pudiendo mejorar así las
capacidades ante la gestión de
incidentes.”
16. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 16
Representa un lenguaje para la
especificación, la captura, la
caracterización y comunicación de
información estandarizada amenaza
cibernética de una manera estructurada
para apoyar los procesos de gestión de
amenaza cibernética más eficaces y
aplicación de automatización, soportado
por OASIS
18. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 18
Ejemplos:
+90 Tipos (Ficheros, IPs, E-mails, Claves de Registro)
IP: 192,168,1,1
Hash: a98079807649123..
Fichero: FileName prueba_malware.exe
Descripción de algo que se pueda ver
El md5 a98079807649123… es un MW del tipo Kido
Email desde pepito@mufasa.com es phishing
Información acerca de una investigación de un incidente de
ciberseguridad
El equipo PANDA-DAVID, propietario David Pérez, está infectado
por el MW Kido
Tácticas, técnicas y procedimientos: Descripción del
comportamiento y los recursos utilizados por el atacante,
incluyendo el MW, patrones, infraestructura, herramientas,
personajes o localización
El Malware Kiko ha accedido mediante SQL Injection atacando al
departamento de Retail conectándose a la IP 1.2.3.4
Describen vulnerabilidades u errores de configuración. Se pueden
describir CVE, CCE, CWE.
CVE-2014-0160 Heartbleed
Describe un patrón de actividad en curso con un propósito u
objetivo común
Campaña contra la banca
Información sobre amenazas y/o individuos que ejecutan ataques.
Anonymous, KDZ-23, APT
También se puede incluir información adicional como la
nacionalidad
Respuestas preventivas o reactivos a la actividad de amenazas
Instalar el KB-343432 o limpiar la cache o eliminar la entrada de
registro X
20. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 20
Casos de uso: 1. Analizar Ciber amenazas
2. Especificación de Patrones de los
indicadores de Ciber Amenazas
3. La gestión de incidentes de ciber
seguridad:
1. Prevención
2. Detección
3. Respuesta
4. Compartición de ciber amenazas
22. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 22
Caso práctico de caracterización de un incidente
de ciber seguridad
(Locky: Primera Campaña)
Fuente: Panda Security
Un usuario en una empresa española recibió un correo con un fichero adjunto:
23. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 23
El correo fue abierto y ejecutado su contenido el cual contenía una variante de Cryptolocker
(Locky). Después de la apertura del correo y la ejecución del fichero adjunto, al usuario se le abrió
el notepad con el siguiente texto:
Todos los ficheros de su ordenador quedaron cifrados. La máquina se procede a su
desconexión inmediata y se pasa al Departamento de Seguridad el incidente para la
recopilación de evidencias, respuesta y prevención.
24. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 24
Una vez hecho un primer análisis el Dep Seguridad se encuentra con los siguientes indicadores de
compromiso:
IOCs en Email:
Subject: ATTN: Invoice J-62163564
Sender: RandallAriel900@universalshop.ch
Filename: invoice_J-62163564.doc
SENDER SUBJECT FILENAME
OBJECT
O E-MAIL
25. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 25
IOCs en Disco:
El dropper se descarga un fichero dentro de la carpeta temporal:
Filename: c:Users<username>AppDataLocalTemp[A-Z]{10}.exe
El fichero con la información para desencriptar los ficheros:
Filename: _Locky_recover_instructions.txt
MD5 del fichero descargado (Generado de forma aleatoria)
Hash: d10a376572a1b107fa4157009223edb1
Claves de registro creadas:
Registry keys:
HKEY_USERSSoftwareLocky"completed"
HKEY_USERSSoftwareLocky"paytext"
HKEY_USERSSoftwareLocky"id"
HKEY_USERSSoftwareLocky"pubkey“
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun"Locky"
REGISTR
Y
FILENAME
OBJECT
O FILE
HASH
26. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 26
IOCs de Red:
El dropper se intenta descargar desde varias URLs:
Value:
www.iglobali.com/34gf5y/r34f3345g.exe
www.jesusdenazaret.com.ve/34gf5y/r34f3345g.exe
www.villaggio.airwave.at/34gf5y/r34f3345g.exe
VALUE
OBJECT
O URI
27. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 27
Si hacemos una primera relación de IOCs:
Campaña Locky
IOCs Ficheros IOCs Red IOCs Email
TTP Relacionado TTP Relacionado
TTP Relacionado
Variante de
Víctimas
Ataque Usado
Usa el Malware
Cryptolocker
Locky
SPAM
Víctimas en ES
Contiene
28. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 28
PR: Prevención y Respuesta
Preventiva:
• Bloqueo del acceso en los sistemas perimetrales a los IOCs de Red y
de Email
• Búsqueda en los endpoints del parque de los IOCs de ficheros que ha
podido crear el MW (Entradas de Registro, Nombres de fichero,
Hash..)
• Detección y bloqueo de procesos que intenten borrar las copias de
seguridad del sistema
• Búsqueda en los sistemas perimetrales de más equipos que hayan
podido recibir más emails o se hayan conectado a las URLs
relacionadas con el malware dentro del parque.
Recovery:
Debido al cifrado de los ficheros encriptados la única solución sería
acceder al pago y seguir las instrucciones del notepad
29. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 2920/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 29
Si conectamos las COAs:
Campaña Locky
IOCs Ficheros IOCs Red IOCs Email
TTP Relacionado TTP Relacionado
TTP Relacionado
Variante de
Víctimas
Ataque Usado
Usa el Malware
Cryptolocker
Locky
SPAM
Víctimas en
ES
COAs
Sugeridas
30. 20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 30
Más info:
Página oficial: http://stix.mitre.org
(Tecnologias, fabricantes, comunidades que soportan STIX, como compartir y crear
perfiles de compartición, comunidades..)
Github: https://github.com/STIXProject/
Cualquier duda: David.perez@pandasecurity.com